Как я могу проверить свой антивирусный сканер?

6

Как я могу протестировать несколько антивирусных программ, чтобы определить, какая из них работает лучше, и написать отзывы?

Где я могу найти вирусы для тестов?

alsadk
источник

Ответы:

10

Если вы просто хотите посмотреть, работает ли это; Вы можете использовать тестовый файл EICAR , скачать его здесь . Или сохраните строку

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*[1]

в файл, который должен вызвать антивирусный сканер. Вы также можете сжать / заархивировать файл, чтобы проверить возможности сканирования сжатых / заархивированных файлов вашего сканера ...

Более подробную информацию можно найти на их сайте или в Википедии:

Тестовый файл EICAR (официальное название: EICAR Standard Anti-Virus Test File) - это файл, разработанный Европейским институтом исследований компьютерных антивирусов для проверки реакции компьютерных антивирусных (AV) программ. Смысл этого в том, чтобы позволить людям, компаниям и AV-программистам тестировать свое программное обеспечение без необходимости использовать настоящий компьютерный вирус, который может нанести реальный ущерб, если AV не будет правильно реагировать. EICAR уподобляет использование живого вируса для тестирования программного обеспечения AV для поджога в мусорной корзине для проверки пожарной тревоги и продвигает тестовый файл EICAR в качестве безопасной альтернативы.

AV-программисты устанавливают строку EICAR как проверенный вирус, как и любые другие сигнатуры. Совместимый антивирусный сканер при обнаружении файла будет реагировать точно так же, как если бы он обнаружил действительно вредоносный код. Его использование может быть более универсальным, чем простое обнаружение: файл, содержащий тестовую строку EICAR, может быть сжат или заархивирован, а затем может быть запущено антивирусное программное обеспечение, чтобы определить, может ли оно обнаружить тестовую строку в сжатом файле.

- Википедия - Тестовый файл EICAR

Крис Бартоу
источник
2
черт побери меня на 35 секунд.
Сатьяджит Бхат
4
«EICAR уподобляет использование живого вируса для тестирования программного обеспечения AV для поджога в мусорной корзине для проверки пожарной тревоги и продвигает тестовый файл EICAR в качестве безопасной альтернативы». Это хороший момент, но нажатие кнопки «ТЕСТ» на пожарной сигнализации говорит мне только о том, что звук работает, а не о том, что продукт на самом деле делает то, что он продал (обнаруживает тепло / дым от огня). похоже, что тестовый файл - это то же самое - хорошо, если я скажу, что мое настольное AV-решение работает; но не замена для строгого испытания продукта.
шарлатан-кихот
2
@ ~ quack Хороший пример, и я согласен, просто выбрасываю самый простой тест, чтобы убедиться, что AV работает. Если бы я нажал кнопку TEST на своей дымовой сигнализации, и я не работал, я бы не стал ее использовать.
Крис Бартоу
3

Можно найти несколько хранилищ вирусов, но они не слишком полезны.

Например, статья Test your Antivirus - 6000 для скачивания вирусов содержит ссылку на файл, содержащий 6000 файлов, предположительно всех вирусов, но, к сожалению, начиная с 2009 года. Учитывая, что хороший антивирусный продукт может добавлять в свою базу данных защиты несколько тысяч новых вариантов вирусов в день (не обязательно такие же, как несколько тысяч вирусных сигнатур), они безнадежно устарели.

Я также хотел бы отметить, что хороший антивирус должен быть хорош в профилактике, обнаружении и ликвидации. Обнаружение ненадежно, потому что антивирусные продукты всегда работают за авторами вирусов. Часть уничтожения всегда самая слабая, и очистка после вируса может быть неполной или вызывать неисправности, поэтому после заражения часто рекомендуют переформатирование и повторную установку. Даже армия США уязвима и беспомощна против инфекции.

Я не знаю ни одного хорошего профилактического теста, который, по моему мнению, в конце концов является самой важной функцией. Для обнаружения вы можете обратиться к сайтам, которые специализируются на запуске антивирусных продуктов против образцов вирусов (ни один из них не публикует свой набор тестов). Некоторые такие сайты:

AV-TEST
AV-Comparatives
ТопТенОтзывы

harrymc
источник
2

Чтобы по-настоящему протестировать различные антивирусные решения, вам нужен компьютер, который вы можете заразить, протестировать программное обеспечение A , стереть, восстановить, протестировать программное обеспечение B и т. Д.

Есть два способа сделать это легко - один дешевый, другой ... не очень дешевый.

  • Дешево: возьмите старый компьютер, сделайте новую установку (с полным форматированием) вашей ОС и сделайте образ диска в этом состоянии. Затем вы можете заразить компьютер и протестировать программное обеспечение, а затем восстановить данные из образа.

    Плюсы: дешево. легче запереть, чтобы инфекция не вышла из-под контроля.

    Минусы: отнимает много времени.

  • Не так дешево: используйте виртуальную машину в качестве тестового стенда для заражений. Концепция та же: установка ОС, резервное копирование чистого диска, заражение ПК, тестирование программного обеспечения, восстановление образа, повторное заражение, тестирование большего количества программного обеспечения.

    Плюсы: проще восстановить с чистого изображения. может запустить несколько тестов одновременно.

    Минусы: сложнее в управлении. требует более дорогого оборудования, особенно при одновременном запуске нескольких тестов. может быть сложнее заблокировать, особенно если ваша операционная система может быть заражена вирусами, которые вы тестируете.

шарлатан
источник
3
Как использовать виртуальную машину "не так дешево"? Кроме того, вместо сохранения образов виртуальной машины вы можете просто использовать моментальные снимки / разностные диски и откатывать изменения после завершения теста.
Goyuix
1
Вы можете делать виртуальные машины очень дешево, если вы знаете, что делаете, и можете хорошо планировать, конечно. если вы не знаете, что делаете, это может стать очень дорогим. это не так «дешево», как первый вариант, который был смысл называть его «не так дешево».
шарлатан-кихот
и повторно: снимки. Как я уже сказал, легче восстановить чистое состояние изображения. В этом посте много подробностей и только основные моменты. очевидно, что если вы собираетесь выполнить этот вид теста, вам нужно заполнить некоторые детали.
Quack Quixote
Плеер VmWare, вероятно, подойдет для этого, и он бесплатен для личного использования, так же как и с VirtualBox (хотя после попытки обоих я предпочитаю VmWare). Рабочая станция WmWare стоит дороже, но она того стоит для разработчика.
TimothyAWiseman
2

Попробуйте Limewire. Ищите что-то не упомянутое и загружайте исполняемые.

ИЛИ, установите сеть доверия и зайдите на сайты с красными рейтингами.

ИЛИ, подпишитесь на теневые списки рассылки и откройте вложения.

ИЛИ, отправьте свою электронную почту где-нибудь публично с просьбой virii.

Да, virii - это множественное число вируса.

Ритвик Бозе
источник
4
«Вирусы» - это правильное английское множественное число для единственного «вируса». Вири, вирии и так далее - это сленг.
Тамара Вийсман
2

Я хотел бы ответить, что вы не можете этого сделать. Причина заключается в том, что все профессиональные производители вирусов и те, кто оценивает их, поддерживают сети «приманки» - серию (обычно) виртуализированных компьютеров, которые либо пассивно сидят и / или посещают известные опасные сайты, надеясь заразиться, чтобы можно было проверить попытки заражения вредоносным ПО и проанализированы и оценены показатели эффективности различных программ. У вас (вероятно) нет ресурсов для этого с достаточным размером, чтобы иметь статистически достоверную выборку.

Другая вещь, которую они делают, это нанимает исследователей и компании, чтобы активно создавать вариантные и иногда новые вредоносные программы, а затем отправлять их против программ, чтобы увидеть, как эвристическая защита обходится против файлов сигнатур старого стиля. Новые и никогда ранее не замеченные варианты не могут быть подобраны подписи, поэтому эвристика проверяется таким образом. Опять же - у вас, вероятно, не будет ресурсов для этого.

Файлы сигнатур старого стиля будут проверяться на наличие известных образцов вирусов, чтобы увидеть, как сканирование работает на скорости, но тестирование на единичных образцах и тестирование на множественные инфекции может привести к различным результатам.

Blackbeagle
источник
Хотя, возможно, что-то вроде этого является правильным подходом. Учитывая, что у вас есть способ найти настоящие вирусы, просто делайте все это в виртуальной машине.
Адриан Ратнапала